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Abstract of WO03001348 

The invention relates to a control unit for 
technical arrangements, devices and/or 
machines with a microprocessor, comprising a 
programmable memory and a housing which 
surrounds the microprocessor and the 
programmable memory. Data lines extend from 
the housing for connection to an external device 
in order for data to be written into the 
programmable memory. Said control unit is 
disposed within the housing in such a manner 
that when the housing is opened, the operability 
of the control unit is at least partially impaired. 
The control unit also comprises a control device 
which checks write access when data is written 
into the programmable memory by means of the 
data lines in terms of authorisation. If the write 
access authorisation thus monitored is correct, 
then data can be written into the programmable 
memory. 
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CONTROL UNIT 

Description of WO03001348 



Steuereinheit Die Erfindung betrifft eine Steuereinheit fur technische Anlagen, Gerate und/oder Maschinen 
mit einem Mikroprozessor, mit einemprogrammierba- ren Speicher, mit einem Gehause und mit zumindest 
einer aus dem Gehause herausfuhrenden Datenleitung zur Verbindung mit einer externenEinrich- tung 
zum Schreiben von Daten in den programmierbaren Speicher. 

Derartige auf Mikrocontrollern basierende Steuereinheiten werden mittlerweile in sehr vielen Maschinen 
und Geraten, beispielsweise im Kraftfahrzeug oder in der Consumer-Elektronik etc., eingesetzt. Das vom 
Mikroprozessor benOtigte Steuerungsprogramm ist hierbei ublicherweise in einem programmierbaren 
Speicher hinterlegt. In vielen Fallen handelt es sich hierbei zumindest teilweise urn einen frei 
programmierbaren, wieder iGschbaren und uberschreibbaren Speicher. Die Steuereinheit kann dann 
jederzeit kunden-und anwendungsspezifisch angepasst werden, indem die hierfur benGtigten Daten und 
gegebenenfalls auch komplette Programmabiaufe geandert werden. Diese nachtragliche Anderung 
erlaubt insbesondere auch eine spatere Verbesserung Oder Aktualisierung desSteuerungsprogramms. 
Insbesondere ist es auf diese Weise moglich, uber Veranderungen der Steuerungssoftware 
beispielsweise auch den Funktions-und/oder den Leistungsumfang der Steuereinheit und damit der 
gesamten technischen Anlagen des Gerats oder der Maschine nachtraglich zu modifizieren. 
DieUmprogram- mierung erfolgt ublicherweise dadurch, dass eine externe Einrichtung an eine aus dem 
Gehause herausfuhrende Datenleitung angeschlossen wird und uber die Datenleitung dann die 
erforderlichen Daten in den programmierbaren Speicher geschrieben werden. Bei derexternen 
Einrichtung handelt es sich oft urn ein spezielles Gerat zur Programmierung der jeweiligen 
Steuereinrichtung. Es kann sich aber auch urn einen handelsublichen Com puter handeln, der mit einer 
speziellen Software zur Programmierung der 

Steuereinheit versehen ist. Bei den Datenleitungen kann es sich entweder urn extra zur Programmierung 
vorgesehene Datenleitungen handeln, welche einen Schreibzugriff auf den programmierbaren Speicher 
erlauben. Es kann sich hierbei aber auch urn Datenleitungen handeln, die auch zur Steuerung der 
technischen Anlage und/oder Maschine von der Steuereinheit genutzt werden, d. h. urn Datenleitungen, 
die eine doppelte Funktion haben. 

Ein Nachteil einer spateren AnderungsmGglichkeit der Steuersoftware liegt darin, dass unautorisierte 
Personen diese MOglichkeit missbrauchen kSnnen und beispielsweise unerlaubt den Funktions-und/oder 
Leistungsumfang der Steuereinheit nachtraglich modifizieren und damit die gesamte techni sche Anlage 
bzw. Maschine"tunen". Dies hat fur die Hersteller zum einen den Nachteil, dass sie durch tuning-induzierte 
Schaden in der Garantiezeit und damit verbundene Kosten geschadigt werden kOnnten. Zusatzlich kOn 
nen nachtraglich die Produktdifferenzierungsmerkmale durch unautorisierte 
Personen soweit verandert werden, dass Markenpositionierung und Makenpolitik des jeweiligen 
Herstellers nachhaltig gestttrt werden. 

Es ist Aufgabe der vorliegenden Erfindung, eine Steuereinheit der eingangs genannten Art derart 
weiterzuentwickeln, dass sie von autorisierten Instan zen jederzeit modifiziert werden kann, wobei 
gleichzeitig ein guter Mani pulationsschutz gegen unautorisierte Veranderungen gegeben ist. 

Diese Aufgabe wird durch eine Steuereinheit gemass Anspruch 1 gelost. Die abhangigen AnsprQche 
enthalten besonders vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung. 

Die erfindungsgemasse LGsung beruht hierbei auf der Kombination von zwei 
Schutzkomponenten. 

Zum einen wird die Steuereinheit durch das Gehause so gekapselt, dass ein wie auch immer geartetes 
Offnen der Steuereinheit, beispielsweise durch 

Aufschrauben oder Auffrasen, weitgehend dadurch verhindert wird, dass jede Offnung der 
Gehausekapselung automatisch die Zerstflrung der Funk tionsfahigkeit der Steuereinheit nach sich zieht. 
Dies ist beispielsweise durch entsprechende Klebetechniken maglich. Es kann sich hierbei sowohl urn 
eine 

ZerstGrung von wesentlichen Hardwarekomponenten als auch urn eine LO schung von zumindest fQr die 
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Funktionsfahigkeit wichtigen Softwareteilen handeln. Es ist dann nicht mehr mOglich, die Einheit zu Gffnen 
und entspre chende Speicherbausteine herauszultiten Oder Codes zu analysieren, um in nerhalb der 
Steuereinheit vorhandene Sicherheitsmassnahmen zu analysie ren, offenzulegen Oder zu umgehen und 
anschliessend die Steuereinheit wie der zu verschliessen und in der modifizierten Form 
weiterzuverwenden. Ein "Tunen"der Steuereinheit ist dann allenfalls noch Qber die Datenleitungen 
mCglich. 

Um dies zu verhindern, weist die Steuereinheit zum zweiten eine Kontrol leinrichtung auf, welche 
Schreibzugriffe, bei denen Daten Qber die Datenlei tungen in den programmierbaren Speicher 
geschrieben werden, bezQglich ihrer Berechtigung QberprQft. Das heisst, jeder Prozess, der von aussen 
schreibend und/oder lesend Qber die Datenleitungen auf Daten der Steuer einheit Qber die Datenleitungen 
zugreifen mOchte, muss sich einer Berechti gungskontrolle durch einen solchen'Torwachter- 
Prozess"unterziehen. Nur bei einer erfolgreichen UberprQfung der Berechtigung wird das Schrei 
ben/Lesen der Daten in bzw. aus dem programmierbaren Speicher veran lasst, d. h. die 
Kontrolleinrichtung lasst das Einschreiben und/oder Auslesen der Daten zu oder fuhrt es selbst durch. 

Da auf diese Weise alle Daten kanalisiert und bezuglich ihrer Authentizitat QberprQft werden, ist ein 
unerlaubtes Tuning Qber die Datenleitungen nicht mehr mOglich. Da das Gehause entsprechend physisch 
gekapselt ist, kann dieser Prozess auch nicht unterlaufen werden. 

Eine solche Kontrolleinrichtung wird vorzugsweise in Form eines Softwareprozesses innerhalb des 
Mikroprozessors und in dem programmierbaren Speicher selbst integriert. Alternativ ist es aber auch 
mOglich, ein separates Sicherheitsmodul mit einer solchen Kontrolleinrichtung unabhangig vom 
Mikroprozessor und dem programmierbaren Speicher im Gehause zu plazieren und an die Datenleitungen 
wie eine Art Filter anzuschliessen. 

Zur Durchfuhrung der UberprQfung der Daten gibt es verschiedene generelle MOglichkeiten. 

Eine Mtiglichkeit besteht darin, einen geheimzuhaltenden Algorithmus Oder ein geheimzuhaltendes 
SchlQsselwort zu verwenden. Dabei wird nur dann ein Schreibzugriff zugelassen, wenn zuvor die 
Authentizitat durch bestimmte Angaben, z. B. durch Eingabe einer PIN, oder durch eine dynamische 
variable Authentisierung im Rahmen eines"Challenge-Response"-Verfahrens festgestellt wurde. In einem 
besonders einfachen Fall weist die Kontrolleinrichtung dabei lediglich einen Speicher mit einem geheimen 
Kontrollwort und eine Vergleichseinrichtung auf. Es wird dann vor jedem Schreibzugriff zur 
Berechtigungsuberprufung Qber eine Datenleitung an die Steuereinrichtung ein SchlQsselwort Qbermittelt 
und dieses SchlQsselwort mit dem Kontrollwort verglichen. 

Bei einem bevorzugten Ausfuhrungsbeispiel ist die Steuereinheit derart in dem Gehause eingeschlossen, 
dass bei einem Offnen des Gehauses Speicher bereiche, welche ein geheimes Kontrollwort und/oder 
einen geheimen 

SchlQssel und/oder einen geheimen Verschlusselungsalgorithmus enthalten, gelGscht und/oder zerstort 
werden, so dass es nicht mehr moglich ist, nach dem Offnen des Gehauses diese Daten bzw. Algorithmen 
auszulesen. Dies hat den Vorteil, dass beispielsweise fur eine ganze Serie von Steuereinheiten dieselben 
geheimen SchlQssel oder Verfahren eingesetzt werden kOnnen, ohne dass die Gefahr besteht, dass eine 
nicht autorisierte Person eine Steuer einheit dieser Serie Gffnet und dabei bewusst die ZerstGrung der 
Funktions fahigkeit in Kauf nimmt, um so die Kenntnis der geheimen SchlQssel bzw. 

Verfahren zu erlangen, die dann zum unerlaubten Modifizieren von anderen 
Steuereinheiten derselben Art verwendet werden kdnnen. 

Bei einer anderen bevorzugten Alternative werden zur Authentisierung kei ne geheimen Algorithmen, 
sondern verOffentlichte bzw. verGffentlichbare kryptographische Verfahren eingesetzt. Der 
Authentisierungsprozess veriauft dann Qber den Einsatz dieser Verfahren, so dass die Sicherheit nur mehr 
ausschliesslich von den jeweiligen eingesetzten SchlQsseln abhangig ist. 

Die Sicherheit des Gesamtsystems, d. h. desManipulationsschutzes des Steu ergerats, wird damit auf die 
Sicherheit der SchlQsselmanagementprozesse verteilt. FQr eine hinreichend sichere Handhabung dieser 
SchlQssel existieren genQgend allgemein bekannte Verfahren. Die Verwendung solcher verttf 
fentlichbaren kryptographischen Verfahren hat den Vorteil, dass die imple mentierte Sicherheit, anders als 
bei geheimen Algorithmen, nicht mehr ein fach durch die Kenntnis der Algorithmen umgangen werden 
kann, wie dies z. B. bei einer trivialen Passworteingabe der Fall ist. 
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Beispiele far solche verOffentlichten kryptographischen Verfahren sind symmetrische kryptographische 
Verfahren wie beispielsweise DES, 3-DES Oder IDEA sowie asymmetrische kryptographische Verfahren 
wie beispielsweise das RSA-Verfahren, bei dem der Verschlusselungsalgorithmus auf der Arithmetik 
grosser Ganzzahlen beruht und die Schlussel auf der Grundlage von zwei grossen Primzahlen erzeugt 
werden. 

Einen besonderen Vorteil bietet die Verwendung einer solchen Steuereinheit beispielsweise zur 
Steuerung eines Kraftfahrzeugmotors. Bei derartigen Steuergeraten ist es auch aus 
verkehrssicherheitstechnischen Grdnden wichtig, ein unerlaubtes Tunen der Steuerungseinheiten und 
damit der Motoren zu verhindern. Im Obrigen kann ein unautorisiertes Tunen hier auch zu einer 
frQhzeitigen Beschadigung von Motoren Oder Getriebe innerhalb der Garantiezeit fOhren, was wiederum 
einen grflsseren Schaden fur den Fahrzeughersteller bedeutet. Andererseits besteht aber auch gerade auf 
diesem Markt ein besonders grosses Interesse der Nutzer, sich durch entsprechendes Tunen eine hOhere 
Leistung des Motors zu verschaffen. 

Die Erfindung erlaubt bei grOsstmOglicherManipulationssicherheit jederzeit gegen Vorlage und 
Oberprufung einer Berechtigung, beispielsweise eines elektronischen Zertifikats und/oder eines 
biometrischen Merkmals etc. eine Veranderung der Programmierung. Somit ist durch eine autorisierte 
Instanz, wie den Hersteller oder einen lizenzierten Nutzer der Steuereinheit, jederzeit eine Freischaltung, 
Abanderung oder ein Einspielen von diversen Inhalten wie beispielsweise Stadtpianen, Musikstucken oder 
dergleichen sowie eine komplette Veranderung des Programmcodes mGglich. 

Die mOgliche Anderung von Daten oder des Programmcodes innerhalb der Steuereinheit durch eine 
autorisierte Person bei gleichzeitiger sicherer Ver hinderung der Manipulation hat auch den Vorteil, dass 
beispielsweise nur temporare Veranderungen vorgenommen werden kOnnen, die sich nach einer 
vorgegebenen Zeitspanne, beispielsweise nach Ablauf einer bestimmten Zusatzlizenz, wieder selbsttatig 
zurCicksetzen. Auf diese Weise kOnnte z. B. zeitlich begrenzt Leistung im Kraftfahrzeug gemietet bzw. 
nachgeladen werden. Ebenso kOnnten in Steuerungsgeraten for Navigationssysteme temporar for eine 
bestimmte Tour geographische Daten uber die zu durchfahrenden Regionen, d. h. Stadtpiane oder 
Landkarten, gemietet werden, deren Daten nach Ablauf eines vorgegebenen Zeitpunkts nach Abschluss 
der Reise dem Navigationssystem nicht mehr zur Verfugung stehen. 

Insbesondere bei Veranderungen beispielsweise der Steuerungssoftware fur Kraftfahrzeuge ist es ggf. 
erforderlich vor Ausfuhrung der Anderungen eine Authorisierung bzw. Freigabe durch eine dritte Stelle, 
beispielsweise der Kfz-Zulassungsstelle einzuholen. Zu diesem Zweck wird vor oder nach der 
BerechigungsQberprufung durch die Kontrolleinrichtung eine Verbindung zu derexternen authorisierenden 
Stelle initiiert, welche die zu installierende Steuerungssoftware freigibt. 

Die Erfindung wird im Folgenden unter Hinweis auf die beigefugte Figur anhand eines 
AusfQhrungsbeispiels naher eriautert. 

Die einzige Figur zeigtdabei in schematischer Blockdarstellung eine Steuereinheit 1 fur einen 
Kraftfahrzeugmotor (nicht dargestellt). 

Die Steuereinheit 1 weist zunachst ein gekapseltes Gehause 2 auf, in welchem sich ein Mikroprozessor 
mit einem programmierbaren Speicher befidet, in dem Programmdaten und Nutzdaten, unter anderem die 
tuningrelevanten Parameter des Motors wie der Ladedruck, gespeichert sind. Das Ge hause 2 ist so 
verschlossen, dass jede Offnung zu einer irreversiblen ZerstO rung der Funktionsfahigkeit der 
Steuereinheit fuhrt. Uber Datenleitungen 3, 

4 ist es mOglich, auf den programmierbaren Speicher zuzugreifen und die dortigen Programme bzw. 
Daten zu Uberschreiben. 

Ausserdem weist die Steuereinheit 1 eine Kontrolleinrichtung 5 auf, welche als'Torwachter"alle Qber die 
Datenleitungen 3,4hereinkommenden Daten Qberpruft und somit jeden Schreibzugriff auf seine 
Authentizitat hin kon trolliert. 

Die Kontrolleinrichtung ist in der Figur als ein Block innerhalb der Steuer einheit dargestellt. Die 
Kontrolleinrichtung 5 ist in der Realitat als software massiger Prozess innerhalb des Mikroprozessors in 
dem programmierbaren 

Speicher implementiert. Der Mikroprozessor und der programmierbare 
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Speicher selbst sind in der Figur nicht dargestellt. 

In dem dargestellten AusfUhrungsbeispiel arbeitet die Kontrolleinrichtung 5 mittels einerdigitalen Signatur, 

bei der zunachst Qber den gesamten Daten string, der in den Speicher geschrieben werden soil, ein Hash- 

Wert berechnet wird. Dieser Hash-Wert wird vor der Obermittlung Qber eine der Datenlei tungen 3,4 mit 

einem beliebigen, vorzugsweise asymmetrischen Krypto 

Algorithmus, hier einem RSA-Verfahren, verschlusselt. Das Ergebnis dieser 

Berechnung wird als"Unterschrift M der eigentlichen Nachricht beigefQgt, d. h. an den Datenstring 

angehangt. 

Innerhalb der Steuereinheit 1 wird dann von der Kontrolleinrichtung 5 ver anlasst, dass Qber den 
eigentlichen Datenstring ein Hash-Wert mit dem glei chen Hash-Algorithmus wie auf der Seite des 
schreibenden Gerats kompri miert wird. Die angehangte digitale Signatur wird mit dem ttffentlichen 
SchlQssel des RSA-Algorithmus entschlusselt und der bei der Entschlusselung enthaltene angefugte 
Hash-Wert der Signatur mit dem innerhalb der Steuereinheit berechneten Hash-Wert verglichen. Sind 
beide Werte gleich, wurde die Nachricht auf ihrem Obertragungsweg nicht verandert und von einem Gerat, 
welches im Besitz des richtigen geheimen Schlussels ist, erzeugt. Die Signatur wurde damit verifiziert und 
die Daten authentisiert. 

Falls die beiden Werte nicht Qbereinstimmen, wurde entweder die Nachricht Oder die Signatur wahrend 
der Obertragung verandert Damit ist die Authentizitat nicht mehr gegeben, und der Inhalt der Nachricht 
kann nicht mehr als unverandert Oder von einer authentisierten Person gesendet angenommen werden. 
Der gesendete Datenstring wird dementsprechend von der Kontrolleinrichtung nicht akzeptiert und in der 
Folge nicht-wie vom Benutzer der Einrichtung zur Programmierung der Steuereinheit 1 gewunscht-in den 
Speicher geschrieben. Dieser Kontrollprozess ist als Programmcode links oben in der Kontrolleinrichtung 
5 dargestellt. Der Datenstring selbst sowie die Bildung des Hash-Werts und der Signatur sind rechts oben 
innerhalb der Kontrolleinrichtung 5 dargestellt. 

Da wegen der Gehausekapselung eine Umgehung der digitalen Signatur nicht mOglich ist, indem eine 
unbefugte Person das Gehause Gffnet und die gewunschten Daten direkt in die jeweiligen Stellen des 
Speichers einschreibt, wird derManipulationsschutz an und in der Steuereinheit effektiv durch die 
Erfindung unterbunden. Dadurch entstehen den betroffenen Unternehmen keine unerwunschten 
GarantieansprQche. Die Markenstrategie der jeweiligen Unternehmen wird nicht mehr unterlaufen. Zudem 
wird die Lebensdauer der von der Steuereinheit angesteuerten technischen Anlagen und/oder Gerate 
Oder Maschinen im Verhaitnis zu den unerlaubt veranderten Einrichtungen erhGht. Daruber hinaus sind 
nachtragliche Anderungen Oder Erweiterungen im Verhalten der Steuereinheit dauerhaft oder auch nur 
temporar jederzeit mtiglich, so dass eine flexible und dynamische Anpassung an sich andernde 
Anforderungen von Technik, Markten und Kunden gewahrleistet werden kann. 
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CONTROL UNIT 

Claims of WO03001348 



Patentanspruche 1. Steuereinheit (1) mit einem Mikroprozessor, mit einem programmier baren Speicher, 
mit einem Gehause (2) und mit zumindest einer aus dem Gehause (2) herausfuhrenden Datenleitung (3,4) 
zur Verbindung mit einer externen Einrichtung zum Schreiben und/oder Lesen von Da ten in bzw. aus 
dem programmierbaren Speicher, dadurch gekennzeichnet, dass die Steuereinheit(l) derart in dem 
Gehause (2) eingeschlossen ist, dass bei einem Offnen des Gehauses (2) die Funktionsfahigkeit der 
Steuereinheit(l) zumindest teilweise zerstOrt wird, und dass die Steu ereinheit(l) eine Kontrolleinrichtung 
(5) aufweist, welche einen 

Schreib-und/oder Lesezugriff, bei dem Daten uber die Datenleitung (3, 

4) in den programmierbaren Speicher geschrieben oder aus diesem ge lesen werden, bezuglich einer 
Berechtigung Gberpruft und nur bei er folgreicher UberprOfung der Berechtigung das Schreiben/Lesen der 
Daten in bzw. aus dem programmierbaren Speicher veranlasst. 

2. Steuereinheit nach AnsprucM, dadurch gekennzeichnet, dass die 

Kontrolleinrichtung einen Speicher mit einem geheimen Kontrollwort und eine Vergleichseinrichtung 
umfasst, urn ein vor einem Schreibzu griff Ober eine Datenleitung an die Steuereinrichtungubermitteltes 
SchlGsselwort mit dem Kontrollwort zur Berechtigungsuberprufung zu vergleichen. 

3. Steuereinheit nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Kontrolleinrichtung Mittel zur 
DurchfQhrung eines Challenge 

Response-Verfahrens zur Berechtigungsuberprufung umfasst. 

4. Steuereinheit nach einem der Anspruche 1 bis 5, dadurch gekenn zeichnet, dass die Kontrolleinrichtung 
Mittel zur Verschlusselung und/oder Entschlusselung von Daten umfasst. 

5. Steuereinheit nach einem der Anspruche 1 bis 3, dadurch gekenn zeichnet, dass die Kontrolleinrichtung 
(5) Mittel zur Oberprufung einer digitalen Signatur der Qber die Datenleitung (3,4) Qbermittelten Daten 
umfasst 

6. Steuereinheit nach einem der Anspruche 1 bis 5, dadurch gekenn zeichnet, dass die Steuereinheit 
derart in dem Gehause eingeschlossen ist, dass bei einem Offnen des Gehauses Speicherbereiche, 
welche ein geheimes Kontrollwort und/oder einen geheimen SchlQssel und/oder einen geheimen 
Verschlusselungsalgorithmus enthalten, gelGscht und/oder zerstort werden. 

7. Steuereinheit nach einem der Anspruche 1 bis 6, dadurch gekenn zeichnet, dass die Kontrolleinrichtung 
(5) Mittel zur Aufnahme einer 

Verbindung zu dritten Stellen enthait und ein Schreib-/Lesezugriff nurzugelassen ist, wenn eine Freigabe 
durch diese dritte Stelle erfolgt ist. 

8. Verwendung einer Steuereinheit (5) nach einem der Anspruche 1 bis 7 zur Steuerung eines 
Kraftfahrzeug-Motors. 
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